安全公告 | Google Security Operations

此页面由 Cloud Translation API 翻译。

本页面提供了与 Google Security Operations 相关的所有安全公告。

GCP-2023-028

发布日期 ：2023 年 9 月 19 日

更新日期：2024 年 5 月 29 日

说明

说明	严重程度	备注
2024 年 5 月 29 日更新：新 Feed 不再使用但对现有 Feed 仍然有效，以避免服务中断。系统会阻止对旧 Feed 中的来源所做的更改，以防止滥用共享服务账号。只要不更改来源，客户就可以继续照常使用旧 Feed。客户可以配置 Google SecOps 以使用提取 Feed 从客户拥有的 Cloud Storage 存储桶提取数据。直到最近，Google SecOps 提供的共享服务账号一直供客户用于向存储桶授予权限。存在业务机会这样就可以配置一个客户的 Google SecOps 实例从其他客户的 Cloud Storage 存储桶中注入数据。在执行影响分析后，我们发现目前或之前未曾利用此漏洞。此漏洞存在于 2023 年 9 月 19 日之前的 Google SecOps。该怎么做？自 2023 年 9 月 19 日起，Google SecOps 已更新，以这个漏洞客户无需采取任何行动。解决了哪些漏洞？以前，Google SecOps 提供的共享服务账号供客户授予对存储桶的权限。因为与向同一 Google SecOps 服务账号授予了就存在一个利用媒介，允许一个客户的在创建 Feed 时访问其他客户的存储桶或修改过的文件。此利用途径需要知道存储桶 URI。现在，在创建或修改 Feed 的过程中，Google SecOps 会使用每个客户的唯一服务账号	高

严重程度

备注

2024 年 5 月 29 日更新：新 Feed 不再使用但对现有 Feed 仍然有效，以避免服务中断。系统会阻止对旧 Feed 中的来源所做的更改，以防止滥用共享服务账号。只要不更改来源，客户就可以继续照常使用旧 Feed。

客户可以配置 Google SecOps 以使用提取 Feed 从客户拥有的 Cloud Storage 存储桶提取数据。直到最近，Google SecOps 提供的共享服务账号一直供客户用于向存储桶授予权限。存在业务机会这样就可以配置一个客户的 Google SecOps 实例从其他客户的 Cloud Storage 存储桶中注入数据。在执行影响分析后，我们发现目前或之前未曾利用此漏洞。此漏洞存在于 2023 年 9 月 19 日之前的 Google SecOps。

该怎么做？

自 2023 年 9 月 19 日起，Google SecOps 已更新，以这个漏洞客户无需采取任何行动。

解决了哪些漏洞？

以前，Google SecOps 提供的共享服务账号供客户授予对存储桶的权限。因为与向同一 Google SecOps 服务账号授予了就存在一个利用媒介，允许一个客户的在创建 Feed 时访问其他客户的存储桶或修改过的文件。此利用途径需要知道存储桶 URI。现在，在创建或修改 Feed 的过程中，Google SecOps 会使用每个客户的唯一服务账号

高